Linux基本防护措施-锁定用户_万金油_新浪博客

1）正常情况下，未过期的账号可以正常登录，使用chage可以修改账户有效期

查看账户信息：

[root@proxy ~]# chage -l

用法：chage [选项] 登录

选项：

  -d, --lastday 最近日期        将最近一次密码设置时间设为“最近日期”

  -E, --expiredate 过期日期     将帐户过期时间设为“过期日期”

  -h, --help                    显示此帮助信息并推出

  -I, --inactive INACITVE       过期 INACTIVE 天数后，设定密码为失效状态

  -l, --list                    显示帐户年龄信息

  -m, --mindays 最小天数        将两次改变密码之间相距的最小天数设为“最小天数”

  -M, --maxdays 最大天数        将两次改变密码之间相距的最大天数设为“最大天数”

  -R, --root CHROOT_DIR         chroot 到的目录

  -W, --warndays 警告天数       将过期警告天数设为“警告天数”

修改账户有效期：

[root@proxy ~]# chage -E

chage：选项需要一个参数 -- E

用法：chage [选项] 登录

选项：

  -d, --lastday 最近日期        将最近一次密码设置时间设为“最近日期”

  -E, --expiredate 过期日期     将帐户过期时间设为“过期日期”

  -h, --help                    显示此帮助信息并推出

  -I, --inactive INACITVE       过期 INACTIVE 天数后，设定密码为失效状态

  -l, --list                    显示帐户年龄信息

  -m, --mindays 最小天数        将两次改变密码之间相距的最小天数设为“最小天数”

  -M, --maxdays 最大天数        将两次改变密码之间相距的最大天数设为“最大天数”

  -R, --root CHROOT_DIR         chroot 到的目录

  -W, --warndays 警告天数       将过期警告天数设为“警告天数”

2）失效的用户将无法登录

使用chage命令将用户zhangsan的账户设为当前已失效（比如已经过去的某个时间）：

[root@proxy ~]# useradd zhangsan

[root@proxy ~]# chage -E 2015-05-15 zhangsan

[root@proxy ~]# chage -l zhangsan

最近一次密码修改时间 ：8月 06, 2018

密码过期时间 ：从不

密码失效时间 ：从不

帐户过期时间 ：5月 15, 2015

两次改变密码之间相距的最小天数 ：0

两次改变密码之间相距的最大天数 ：99999

在密码过期之前警告的天数 ：7

尝试以用户zhangsan重新登录，输入正确的用户名、密码后直接闪退，返回登录页，说明此帐号已失效。

3）重设用户zhangsan的属性，将失效时间设为2019-12-31

[root@proxy ~]# chage -E 2019-12-31 zhangsan

[root@proxy ~]# chage -l zhangsan

最近一次密码修改时间 ：8月 06, 2018

密码过期时间 ：从不

密码失效时间 ：从不

帐户过期时间 ：12月 31, 2019

两次改变密码之间相距的最小天数 ：0

两次改变密码之间相距的最大天数 ：99999

在密码过期之前警告的天数 ：7

4）定义默认有效期（扩展知识）

/etc/login.defs这个配置文件，决定了账户密码的默认有效期。

[root@proxy ~]# vim /etc/login.defs 

PASS_MAX_DAYS   99999              //密码最长有效期

PASS_MIN_DAYS   0                 //密码最短有效期

PASS_MIN_LEN    5                      //密码最短长度

PASS_WARN_AGE   7                 //密码过期前几天提示警告信息

UID_MIN                  1000           //UID最小值

UID_MAX                 60000            //UID最大值

）锁定用户账号

使用passwd或usermod命令将用户zhangsan的账户锁定。

[root@proxy ~]# passwd -l zhangsan            //锁定用户账号lock

锁定用户 zhangsan 的密码 。

passwd: 操作成功

[root@proxy ~]# passwd -S zhangsan            //查看状态status  

zhangsan LK 2018-08-06 0 99999 7 -1 (密码已被锁定。)

第二种方法：

[root@proxy ~]# usermod  -L  zhangsan    //锁定帐号

[root@proxy ~]# passwd -S zhangsan

zhangsan LK 2018-08-06 0 99999 7 -1 (密码已被锁定。)

[root@proxy ~]# usermod -U zhangsan       //解锁帐号

usermod：解锁用户密码将产生没有密码的账户。

您应该使用 usermod -p 设置密码并解锁用户密码。

[root@proxy ~]# usermod -h

用法：usermod [选项] 登录

选项：

  -c, --comment 注释            GECOS 字段的新值

  -d, --home HOME_DIR           用户的新主目录

  -e, --expiredate EXPIRE_DATE  设定帐户过期的日期为 EXPIRE_DATE

  -f, --inactive INACTIVE       过期 INACTIVE 天数后，设定密码为失效状态

  -g, --gid GROUP               强制使用 GROUP 为新主组

  -G, --groups GROUPS           新的附加组列表 GROUPS

  -a, --append GROUP            将用户追加至上边 -G 中提到的附加组中，

                                并不从其它组中删除此用户

  -h, --help                    显示此帮助信息并推出

  -l, --login LOGIN             新的登录名称

  -L, --lock                    锁定用户帐号

  -m, --move-home               将家目录内容移至新位置 (仅于 -d 一起使用)

  -o, --non-unique              允许使用重复的(非唯一的) UID

  -p, --password PASSWORD       将加密过的密码 (PASSWORD) 设为新密码

  -R, --root CHROOT_DIR         chroot 到的目录

  -s, --shell SHELL             该用户帐号的新登录 shell

  -u, --uid UID                 用户帐号的新 UID

  -U, --unlock                  解锁用户帐号

  -Z, --selinux-user  SEUSER       用户账户的新 SELinux 用户映射

修改tty登录的提示信息，隐藏系统版本

1）账户在登录Linux系统时，默认会显示登陆信息（包括操作系统内核信息）

/etc/issue这个配置文件里保存的就是这些登陆信息，修改该文件防止内核信息泄露。

[root@proxy ~]# cat /etc/issue     //确认原始文件

\S

Kernel \r on an \m

[root@proxy ~]# cp /etc/issue /etc/issue.orgin   //备份文件  

[root@proxy ~]# vim /etc/issue     //修改文件内容

[root@proxy ~]# cat /etc/issue

windows Servrer 2012 Enterprise R2

NT  6.2 Hybrid

2）测试版本伪装效果

退出已登录的tty终端，或者重启Linux系统，刷新后的终端提示信息会变成自定义的文本内容，如图-1所示